導語：財務共享模式的內部審計探究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、引言

內部審計不僅是內生性的組織內部控制機制的重要環節，而且可以對其他內部控制措施的運行是否有效進行監督和評價，是組織風險管理的核心環節[1]。隨著數據經濟時代的到來，風險的內涵與外延發生了變化，內部審計的基礎性作業也日益凸顯。2018年1月，審計署出臺了《關于內部審計工作的規定》與《關于加強內部審計工作業務指導和監督的意見》，在同年5月召開的中央審計委員會第一次會議上指出，要加強對內部審計工作的指導和監督。可見，內部審計的作用越來越被重視。實踐中，隨著信息技術的不斷成熟與廣泛應用以及集團公司業務發展的需求，財務共享服務模式得到了越來越多集團公司的青睞，許多集團公司逐漸從傳統的經營管理模式轉向了建立財務共享服務中心，實施財務共享模式。財務共享模式下，集團公司依托信息技術平臺，將公司的各級附屬部門或組織發生的重復率高、有律可循的事務性業務集中到一個系統平臺進行處理，從而降低運營成本，提高效率，最終實現公司的管控目標。財務共享模式的建立是企業內部審計領域的一次重大革新[2]，為內部審計提供了機遇與挑戰。一方面，財務共享模式數據處理的集中化加強了數據傳遞的準確性與及時性，為內部審計減少了一些復雜的數據收集工作。另一方面，財務共享服務模式的技術特性也向內部審計提出了新的挑戰。區別于傳統的現場審計方式，財務共享模式下采用的是非現場審計[3]，利用信息平臺為內部審計提供相應的數據收集、數據分析等數據服務。如此一來，信息平臺所依賴的信息技術的安全風險，以及信息平臺采集的初始數據的準確安全就成為影響整個財務共享服務中心內部審計的重中之重，也是財務共享模式內部審計必須解決的問題之一。信息技術風險是財務共享模式下內部審計需要考慮的首要問題，同時借助恰當的信息技術思維實施財務共享模式的內部審計，改進內部審計方法也是財務共享模式內部審計亟待解決的問題。區塊鏈為集團化企業聯網內部審計提供了新的機遇，可以解決集團的內部審計面臨的風險，改進聯網內部審計數據記錄和存儲方式，提高內部審計工作的效率[4]。因此，本文將對源于信息技術的風險進行識別，借助區塊鏈技術思維探索財務共享模式的內部審計策略。

二、技術風險視角下的財務共享模式獨特性分析

（一）源于信息技術的風險增加。財務共享模式與傳統的財務管理模式存在較大差異，其中之一便是信息技術的應用程度。信息技術既為財務共享的實施提供了技術支持，同時又增加了財務共享服務的信息技術風險。信息技術風險是集團公司在運用云計算、互聯網等信息技術進行信息處理的過程中產生的各種不確定風險因素，而這些風險因素極有可能對集團公司的戰略規劃、業務發展等方面產生負面的影響。因此，財務共享模式下源自信息技術的風險問題是內部審計轉變思維重點關注的內容。雖然云計算、互聯網等技術不斷成熟，但是由技術本身帶來的網絡安全、系統漏洞、數據安全等風險仍然是用戶首要考慮的問題。從工信部披露的網絡安全威脅報告中可以看到，用戶數據泄露事件多有發生，云計算平臺相繼發生故障，網絡安全漏洞仍然是網站和系統面臨主要的安全威脅之一[5]。財務共享服務中心依托財務共享平臺將整個集團公司的業務財務信息集中存儲在服務中心，有利于集團公司進行相應的財務分析、資金管理等集中管理，但是同時也存在著數據安全隱患，一旦出現問題（如數據外泄），就會造成嚴重影響。財務共享模式下的內部審計不能忽視信息技術應用帶來的風險隱患，需要對其依托的信息技術進行風險識別。與此同時，傳統的審計形式難以適應新興的財務共享服務模式，企業對內部審計提出了更高的要求[2]。財務共享模式從組織架構、業務流程等多個方面都有別于傳統的財務管理模式，信息技術的應用使得財務人員僅僅具備專業知識已然不能滿足財務共享模式下的內部審計要求，缺乏具備信息技術知識、適應信息技術平臺審計思維的新型專業內部審計人才，難以有效處理大規模的數據，降低了財務共享模式的優勢，同時使得信息技術應用的風險上升。（二）對底層業務數據的真實安全要求更高。財務共享服務中心將集團內部組織結構分散、重復率高的核算業務統一集中到共享中心進行集中處理。這一模式的應用使得整個共享中心對底層數據依賴性更強，對底層數據的真實安全要求更高。一旦各分支機構的底層業務數據的真實性存在問題，那么傳遞到財務共享中心后財務確認以及后期的財務分析等所依賴的基礎數據就是錯誤的，據此做出的最終決策也難以指導公司戰略甚至會出現嚴重的負面結果。尤其是當前移動互聯網的廣泛應用，催生了眾包等分散性極強的虛擬崗位，而越來越多的財務共享服務中心將底層的簡單重復的識別、核對等工作分包給移動終端的個人（包括集團公司內外部），并按件計費。這種模式的應用使得財務共享服務中心對于底層數據的控制提出了更高的要求，同時也增大了數據安全的風險隱患。傳統內部審計在現場收集的多為紙質數據，真實性有一定的保障，數據不容易被修改，財務共享模式下的內部審計需要處理的幾乎均為電子數據，并且后期的電子數據都是系統依據底端的業務單據自動處理得出的，其真實性、準確性需關聯底層數據加以驗證；同時，被存儲在共享平臺的電子數據容易被復制、篡改、刪除，數據的安全性與可信任性也存在極大的風險隱患。可見，從技術風險角度來看，財務共享模式下的內部審計必須重視底層數據的真實與安全。綜上所述，財務共享模式的實施在給企業管理帶來降低成本、提高效率等好處的同時，也帶來了信息技術風險隱患。作為企業風險管理體系中第三道防線的內部審計就必須對此進行調整[6]。

三、財務共享模式的內部審計策略

本文將以信息技術風險的識別與控制、信息技術的應用作為切入點，針對源自信息技術的風險因素與源自底層數據真實安全的風險因素兩個方面分析討論財務共享模式下的內部審計策略。（一）基于信息技術風險的風險識別。財務共享模式依托的信息技術以及會計核算模式都發生了很大的變化，由此產生的風險在辨認和可控性上都變得更復雜。因此，財務共享模式下的內部審計實施需要首先了解集團公司的信息技術整體環境，了解信息技術整體環境是對企業信息系統整體管理體系中的相關風險點的識別及應對[7]。信息技術導致的風險是集團公司實施財務共享內部審計的背景和大環境，是財務共享內部審計實施需關注和解決的首要問題。因此，實施財務共享內部審計必須將信息技術風險的識別作為首要任務。對于信息技術風險的識別，本文認為應首先確定信息技術的風險識別點，然后基于這些風險識別點進行風險識別，最后在風險識別的基礎上進行風險評估。1.確定信息技術風險識別點。每一項信息技術都是基于某一個問題的解決思路，歸根到底是一種思維，因此都有其自身的技術特點。不同的信息技術其優勢、風險點都不盡相同。首先，需要確定財務共享模式應用了哪些信息技術，以此作為信息技術風險識別的總范圍。其次，針對每一項信息技術的特點確定其風險點。一般來講，財務共享模式主要依托了ERP系統、互聯網、云計算等信息技術，因此信息技術風險識別范圍的第一層次便是ERP系統、互聯網、云計算等。然后是針對單一的信息技術分析其風險識別點。如圖1所示。2.基于信息技術風險的風險識別。由圖1可以看出，不同的信息技術風險點雖然不盡相同，但是也有共同點，比如數據安全風險。因此，在實施風險識別時可以以不同信息技術為分類標準進行識別，也可以按照風險點作為分類標準進行識別，因為不同信息技術的風險點有重疊，所以本文嘗試采取第二種方式進行風險識別。（1）基于云服務應用方案的風險識別該風險點主要是針對云計算技術的。在識別云服務應用方案風險時，首先應根據被審計單位的云服務方案，結合被審計單位的軟硬件環境分析云服務方案的相關風險。根據云計算的服務類型可以將云計算服務方案分為三種，即基礎設施即服務（IaaS）、平臺即服務（PaaS）、軟件即服務（SaaS）。由于每一種服務的技術架構不同，其產生的風險也不盡相同。基礎設施即服務（IaaS）主要是為云技術的用戶提供軟件開發的數據中心、基礎設施等硬件資源。由此，其風險主要來源于云技術用戶或企業員工非法強占服務項目。平臺即服務（PaaS）是將軟件研發的平臺作為服務提供給用戶，其風險來源于平臺應用中的數據加密技術。由于軟件即服務（SaaS）的實現是通過云端傳輸應用程序的，因此主要風險來源于在云端打開這些應用程序的多個不同密碼。（2）基于云服務提供商的風險識別該風險點主要是針對云計算技術應用過程中涉及的人為因素導致的風險。在使用云計算技術的過程中，所有的服務都由云服務提供商提供，因此云技術用戶在一定程度上與云服務提供商關聯在一起，存在源于云服務提供商的風險因素。本文認為這些風險因素主要包括云服務提供商經營管理等帶來的連帶風險，更換云服務提供商的風險。（二）數據安全、真實的風險因素識別。1.基于數據安全的風險識別。該風險點是云計算技術、互聯網技術以及ERP系統共同的風險點，即每一項信息技術都會面臨著數據安全的風險隱患。數據安全的風險隱患可以分為客觀因素導致的和主觀因素導致的。其中，客觀因素主要是指的由外界不可抗力等非主觀造成的數據安全風險，對于云計算技術而言，不管用戶采取的是哪種應用服務模式，云技術用戶的數據都存儲在云端，面臨著云中心因為技術不穩定、外部黑客攻擊等而導致的潛在數據安全風險。對于互聯網而言，同樣面臨著黑客、病毒、網絡釣魚等影響數據安全的潛在風險。ERP系統作為一個計算機系統雖然外部顯現程度不如云中心、互聯網，但是同樣面臨著軟件系統所必須面對的突然斷電、病毒侵入、服務器存儲故障等影響數據安全的風險。而主觀因素主要是指人為故意造成的數據安全風險，這里的人為主要包括集團公司內部或與集團公司共享中心有關聯關系的人員。如此說來，主觀方面的數據安全風險主要包括云服務提供商內部員工的未授權非法操作、云技術用戶內部員工（互聯網用戶、ERP系統用戶）的未授權非法操作等引起的數據安全。2.基于基礎數據真實的風險識別。該風險點主要產生于ERP等信息系統。當前的信息系統基于業務發生時產生的業務單據，通過系統定義的業務財務關聯關系基本可以實現公司基本業務的業財一體化，即財務核算由系統自動實現。后續流程中的賬簿、報表等也是根據信息系統自帶的程序或系統功能設置自動獲取系統中的相關數據實時生成的。可見，賬簿、報表甚至記賬憑證信息的真實性都源于業務單據中信息的真實性。由此，需要識別基礎數據真實的潛在風險因素。基礎數據真實的潛在風險主要包括基礎業務信息的隱匿、虛增以及信息系統后臺程序的準確性。（三）基于風險識別的風險評估。第一，編制風險評估表，將識別的風險項目一一列示在風險評估表中，如表1所示。第二，參照各項信息技術以往應用過程中或其他公司應用過程中各風險項目發生風險的經驗數據，以及風險項目本身風險發生的可能性估計各風險項目風險發生的概率，同時結合風險項目風險發生概率的大小以及風險發生對公司產生的影響進行綜合評估，確定各個風險項目的權重，最后將權重與概率進行綜合并計算，得出每一項的評估風險以及總的評估風險。第三，因為不同的風險項目產生的后果不同，可控程度也不同，因此本文建議同時設置單個風險項目的可接受水平和總體的可接受水平。首先，評估每個風險項目的可控程度、控制風險的成本等，根據以往的經驗或對風險接受的情況為每一個風險項目設定單獨的風險可接受水平；其次，將所有的風險項目的可接受水平進行綜合，設定一個總體的基于信息技術風險的可接受水平；最后，將單項風險項目、總體風險項目的風險可接受水平與風險評估表中最終計算得出的評估風險進行比較，如果單項風險項目與總體風險項目評估風險均低于可接受水平，可以繼續實施內部審計。如果單項風險項目與總體風險項目中的任何一項評估風險超出可接受水平，就需要針對超出可接受水平的風險項目進行深入分析，找出其風險高的原因，以及該風險能否通過采取相應措施進行控制，該控制措施的實施是否符合成本效益原則。如果風險是可控的，也可以采取相應的措施控制，且控制措施的實施符合成本效益原則，那么可進行相應控制措施的實施，實施完成后對風險進行重新的評估與比較，直至評估風險降至可接受水平之下。（四）基于信息技術風險識別的內部審計策略。傳統的內部審計工作大都是發生在經濟活動結束之后，即事后審計，且往往采用現場審計的方式，無法實現審計的及時性，導致審計效果大打折扣[8]。財務共享模式深入地應用了信息技術，對信息技術服務有著極強的依賴性，同時集團業務日益復雜、瞬息萬變，業務流程以及數據的加工處理、在系統中的傳遞都要求審計思維和基本理念的轉變，在信息技術風險評估的基礎上應用現代審計技術與方法便是一個基本的轉變[9]。1.基于云服務應用方案風險的內部審計策略。首先，了解被審計單位選用的云服務應用方案；其次，查閱方案選用之前被審計單位對方案進行調研、評估的相關資料以確定被審計單位是否在選用方案時對方案有足夠的認識并進行了足夠的調研、風險評估工作；最后，結合被審計單位選用的方案對其進行風險評估，包括被審計單位選用該方案的可行性、方案本身的風險點、同行或同規模企業方案的選擇情況，并將被審計單位選用方案時的相關措施以及實際情況與審計人員的評估結果進行比較。根據比較結果確定下一步審計重點與策略：如果比較結果在可接受范圍內，則直接進入下一步審計程序；否則，需要就超過可接受范圍的風險點與被審計單位進行商談，并建議其實施有效的風險控制。2.基于云服務提供商風險的內部審計策略。云計算技術涉及的人為風險主要源于兩個方面，即云服務提供商與被審計單位。對于云服務提供商，審計人員應對云服務提供商的經營管理情況，尤其是各種風險的控制情況進行基本的了解與評估，對其經營穩定性、云平臺安全控制有效性做出評估。對于被審計單位，即云服務使用者，需要了解被審計單位對于更換云服務提供商有沒有提前的備用方案，或是應急處理方案，并進一步評估方案的有效性；針對云平臺相關操作人員的職責設置、安全控制等有沒有有效的控制制度。如果發現存在不可控的且不能接受的風險隱患，需要與被審計單位溝通，并建議結合內部控制制度進行合理的調整直至達到風險可控。3.基于底層業務數據真實安全的內部審計策略（1）區塊鏈技術應用于底層業務數據控制的可行性底層業務數據的真實完整是財務共享服務中心的財務分析、價值管理等一系列流程是否有意義的根本所在。也就是說，財務共享服務中心要實現其降低成本、提高管控水平等目標首先要保證底層業務數據的真實完整。從財務角度理解，區塊鏈技術就是一種通過互聯網技術實現分布式的賬簿記錄系統，分布式的技術不是單一地將數據儲存在同一服務器，而是由各個終端的參與者同時進行存儲，可以對賬簿副本進行自動備份，實現數據共享與追蹤。通過這種方式也可以有效避免數據被修改。可見，區塊鏈技術為保證底層業務信息的真實性、完整性提供了技術可能性。第一，區塊鏈技術可以提高審計信息的真實性與完整性，降低審計過程中源自數據的風險隱患。區塊鏈技術運用加密式及分布式的存儲方式存儲各個交易節點的信息，保證了數據的安全性，同時對各分布節點的數據進行備份，使得數據的存儲對于中央服務系統的依賴程度大大減少，降低了風險，保證了業務數據的真實性和完整性。第二，區塊鏈技術在每個區塊節點上都保存了完整的數據信息，從空間維度上說，有助于降低信息不對稱的風險，被授權的審計人員可以擺脫地理位置約束獲取所需的審計數據；從時間維度上說，根據區塊鏈技術的基本原理區塊鏈條上每10分鐘會建立一個區塊，并蓋好時間戳，內部審計人員可以擺脫時間限制對鏈條上的信息實時審計。從密碼學來說，一旦蓋好時間戳，理論上這個區塊幾乎沒有被篡改的可能性，內部審計人員可以擺脫信息不對稱的限制實時利用鏈條上的信息進行相應的審計業務。第三，內部審計人員和財務共享服務中心的相關管理者可以自行擬定在區塊鏈條上所要和分享的信息，保證了數據的安全性和可獲得性，同時內部審計人員可以根據區塊鏈提供的信息隨時了解財務共享服務中心的業務情況，并實時地對其實施內部審計，或提出內部控制建議。第四，財務共享模式下，內部審計工作中的數據傳輸環節過多，可能會對內部審計數據的真實性、完整性還有及時性造成不利影響。而在區塊鏈技術下，每個節點都保存了一套真實完整的賬簿副本，內部審計人員可以在任意節點獲取所需審計數據，并根據時間戳追溯歷史業務信息或向后延伸后續業務信息，驗證前后關聯的邏輯關系，提高內部審計的效果與效率。（2）區塊鏈思維的財務共享內部審計區塊鏈的不可篡改、分布式賬本、時間戳、網絡共識以及可編程等特征與會計和審計對信息質量的要求不謀而合，其必將對會計和審計產生深遠的影響，區塊鏈對審計的影響必將導致區塊鏈與審計的融合[10]。從區塊鏈技術的基本原理可知，區塊鏈的信任來自于底層技術，即用歷史信息換得現行的信任。因此，本文認為可以將區塊鏈技術與財務共享模式的內部審計相融合，用以控制底層業務數據的真實安全，同時提高內部審計的效率。財務共享中心的信息輸入起點來源于具體的業務，因此它不是孤立的。而實施內部審計時必須要以基礎業務作為審計的重要內容，因此，財務共享的內部審計實施不能僅限于財務共享中心，而是需要將與財務共享存在內在聯系的基礎業務等融入其中。基于上述分析，本文認為基于區塊鏈的財務共享內部審計的基本思路是以財務共享業務流程為主線構建基于流程的區塊鏈條用以控制底層業務基礎數據的真實安全，關鍵點在于區塊鏈條的構建以及規則的制定，具體的實現過程如圖2所示。第一，確定基本思路，明確目標。根據集團公司的戰略管理目標以及財務共享服務中心的管控目標制定內部審計的目標。集團各分公司的業務信息、財務信息均存儲在共享服務中心，并且基本業務信息以區塊鏈的方式進行分布式賬本存儲，保證了底層基本業務信息的真實完整，因此內部審計目標的重點應是業務流程合理增值。第二，基于區塊鏈思維，在財務共享內部審計的基本實現思路下，建立以財務共享服務中心為審計對象、以財務共享模式下的集團公司以及集團各分公司的基本業務流程為基本鏈條的區塊鏈，財務共享中心中的分支機構以及內部審計機構或人員作為區塊鏈中的參與者。首先根據公司的業務情況以及財務共享平臺的技術實現，梳理出財務共享模式下的基本流程：底層業務發生→業務單據審核→財務共享結算→實施財務確認……然后在梳理財務共享模式基本業務流程的基礎上構建基于流程交易信息的區塊鏈條，并理順區塊鏈分鏈條與業務流程的對應關系。同時根據集團管控目標設計內部審計人員以及集團各個分支機構在財務共享模式下區塊鏈條上的權限。第三，在財務共享的整個鏈條上，所有的參與者統一制定鏈條上信息共享規則，并按照信息的規則實時進行全鏈條。如圖2所示，任一分公司在發生底層業務時建立創世區塊，初始業務的交易信息，并簽名。此時，鏈條上的參與者均可看到該交易信息的內容，當參與者認可同意之后，該區塊被封存，不可篡改。接著，該業務進入下一個流程，即審核流程，由該流程的執行者在上一流程區塊的基礎上繼續建立區塊1，審核業務的交易信息，并簽名。鏈條上的參與者對該業務信息進行認證，無異議后區塊被封存。然后，該業務進入共享結算流程，以此類推……需要說明的是，實際交易時，底層業務對應的區塊可能會由幾個分公司同時發生，而后續財務共享服務中心的業務流程對應的區塊也可能會同時進行。第四，區塊鏈聯盟中（即財務共享中心）的參與者（包括內部審計人員）均可以和分享信息（信息分享程度可以由集團公司財務共享中心的所有分公司共同商量擬定），而區塊鏈聯盟以外的無法獲得信息。內部審計人員可以利用區塊鏈上的實時信息（區塊鏈上的信息每10分鐘會生成一個區塊）隨時了解各分公司的業務情況，更多地實施以下內部審計策略：（1）將區塊鏈技術與大數據技術結合，基于區塊鏈上的業務信息進行數據綜合分析，通過數據分析將數據與業務結合，解析深層原因；（2）關注業務發生的合理性、業務流程的運行是否合理或者相關的業務流程能不能產生價值增值；（3）從底層初始業務開始業務信息是如何傳遞的以及如何加工的、業務與財務的融合程度如何以及效果如何；（4）整個業務流程的運行以及區塊的建立存儲過程中有沒有相應的風險以及風險可控不可控等方面。最終根據實時內部審計的具體情況，結合集團公司的內部規章制度提出業務流程再造、內部控制等方面的建議。值得注意的是，如果各分公司希望對集團公司其他分公司和內部審計人員分享不同的信息，那么需要結合具體的技術考慮建立不同的鏈條，或是針對不同的參與者進行身份識別從而獲取不同的信息內容。綜上，一方面基于財務共享中心的區塊鏈實時內部審計可以有效地解決底層業務數據真實性完整性的問題，有利于解決集團公司內部各分公司之間信息不對稱導致的不信任問題，也可以提高財務共享中心上各分公司的信息與獲取速度，這在數據瞬息萬變的大數據時代更有利于提高整個集團公司的運行效率。另一方面，也是尤為重要的是內部審計人員審計思維與審計方法的轉變。傳統的內部審計會將精力更多地放在對發票、記賬憑證等基本業務信息、財務信息的真實性和完整性的驗證上，而實施了基于區塊鏈的財務共享模式內部審計，內部審計人員可以實時地了解集團各分公司的業務情況，將更多的精力投入到實時地發現業務流程、內部控制等方面的問題、識別各種風險，并提出有效的建議，從而更好地提高內部審計的效率，實現財務共享的管控目標。

四、結論

信息技術廣泛深入應用的大數據環境下，傳統的內部審計模式已經捉襟見肘，不能適應信息化的發展趨勢。財務共享模式的推廣應用尤其是信息技術應用帶來的潛在風險為內部審計提出了新的挑戰，但同時也為內部審計的轉型帶來了新的機遇。本文從信息技術風險因素的角度分析了財務共享模式的兩個特點：源于信息技術的風險增加、對底層業務數據的真實性和安全性要求更高。然后針對兩個方面的問題提出了相應的審計策略：通過確定信息技術的風險識別點、基于這些風險識別點進行風險識別、在風險識別的基礎上進行風險評估三個步驟實施基于信息技術風險的風險識別；將區塊鏈技術應用于財務共享模式的內部審計，提出基于區塊鏈的財務共享內部審計策略。

【參考文獻】

［1］張靜，龐文群.內部審計在審計監督體系中的基礎性作用［J］.財會月刊，2019（5）：114-118.

［2］馮潔霏，韓婀娜，朱正根.財務共享服務模式下的內部審計研究［J］.天津農學院學報，2018，25（2）：89-92.

［3］張慶龍.財務共享服務中心視野中的內部審計職能［J］.中國注冊會計師，2012（9）：51-55.

［4］陳元媛.區塊鏈改進集團化企業聯網內部審計研究［J］.工業經濟論壇，2017（4）：67-71.

［5］2018年第三季度網絡安全威脅態勢分析與工作綜述［EB/OL］.工業和信息化部，2018-12-03.

［6］崔松，張宏.基于財務共享服務的內部審計探析［J］.財會通訊，2019（4）：125-126.

［7］了解信息技術導致的風險以及被審計單位的風險應對體系［J］.中國注冊會計師，2018（3）：20-22.

［8］程平，崔納牟倩.大數據時代基于財務共享服務模式的內部審計［J］.會計之友，2016（16）：122-125.

［9］陳國珍，趙婧.信息化環境下內部審計技術方法研究［J］.會計之友，2013（22）：98-100.

［10］劉杰，汪川琳，韓洪靈，等.“區塊鏈+審計”作業模式的理想與現實［J］.財會月刊，2019（8）：3-10.

作者:丁淑芹 李姿含 單位:青島理工大學商學院